Und nun ist es soweit – die Bußgelder rollen.
Wie man sie aufhält – das verraten wir in diesem Beitrag.
Es wird ernst – die DSGVO Strafen kommen! FAZ als auch Reuters haben dies einheitlich aus internen Quellen der Datenschutzbehörden berichtet. Nachdem die erste Welle der Belastung der Datenschutzbehörden vorbei ist, wird es jetzt ernst.
Wer bisher sich dem Thema Datenschutz glaubte entziehen zu können, der wird in Kürze eines besseren belehrt werden. Es wird ernst nach den Datenschutzbehörden und die Schonfrist ist vorbei. Sowieso sind in einigen Bundesländern die Schonfristen zur Meldung der Datenschutzbeauftragten bereits abgelaufen (Bayern, 31.08.2018) bzw. laufen in einigen Bundesländern in Kürze aus (z.B: NRW zum 31.12.2018).
Ab dem Moment ist ein einfacher Abgleich der Daten des Handelsregisters mit den gemeldeten Datenschutzbeauftragten möglich und schon kann eine Serienbrieffunktion Millionen € von Bußgeldern einbringen. Allein in Deutschland haben wir ca. 3.5 Millionen gemeldete Unternehmen, von denen allein 360.000 über 10 Mitarbeiter haben. Wenn von 360.000 Unternehmen nur 10% eine Pflichtverletzung der Meldung des Datenschutzbauftragten unterliegen, reden wir bei 10.000 € Strafe von satten 360.000.000 (360 Millionen) € Bußgeldern, die eingenommen werden können. Da die Regeln der Bußgeldberechnung aber bei bis zu 4% des weltweiten Jahresumsatzes liegen, sind hier astronomische Summen denkbar.
Wir erleben es leider immer noch am Fließband, das die DSGVO noch nicht einmal im Ansatz flächendeckend angegangen wird. Wir sehen eine Quote von 90%, die das Thema aussitzen möchten.
Die Studie DSGVO Adoption in KMU der Technischen Universität Darmstadt kommt zu einer erschreckenden Erkenntnis-Liste:
- Der aktuelle Stand der Umsetzung von Datenschutzmaßnahmen und die Konformität mit der DSGVO wird sehr negativ eingestuft.
- Deutschland wird trotzdem als Vorreiter in Sachen Datenschutz und DSGVO-Konformität eingeschätzt.
- Top Ergebnisse der nicht DSGVO konformen Themen:
- Bestimmung eines internen Datenschutzbeauftragten – erneut geprüft und weiterhin beim IT-Verantwortlichen
- Datensicherungskonzept bzw. Prozess der Datenvorhaltung ist noch nicht erfolgt oder keine Änderung geplant.
- Ein IT-Sicherheitskonzept besteht (noch) nicht und ist nicht geplant.
- Auftragsverarbeitung, d.h. Erhebung. Verarbeitung und Nutzung von personenbezogenen Daten ist nicht geregelt.
Diese Erkenntnisse sind erschreckend, da Sie statistisch mehr als 30-50% der Unternehmen in Deutschland betreffen.
Wir möchten daher daran appellieren, das Thema nicht weiter aus zu sitzen. Das wird am Ende des Tages ein böses Erwachen geben.
Workshop: Praktischer Datenschutz in der Digitalisierung
Mit der neuen DSGVO und den ständig ansteigenden Gefahren eines Datenschutzvorfalls riskieren Unternehmen nicht selten Ihre Existenz. Ist das Kind erst in den Brunnen gefallen, wirdes teuer und aufwendig. Der Vortrag zeigt anschaulich, wie und wo überall Datenschutzprobleme entstehen können und wie man sich dagegen wappnet. Es zeigt häufige Fehler auf, die in der Praxis immer wieder gemacht werden, wie man diese erkennt und dauerhaft vermeidet.
Mit dem vermittelten Wissen ist es ein Leichtes den Datenschutz im praktischen Einsatz sicher zu stellen.
Maik Becker ist Datenschutzbeauftragter und Geschäftsführer der smart DSGVO GmbH. Er berät Kunden bei der korrekten Umsetzung der DSGVO, schult mit seinen Services und Digitalprodukten Mitarbeiter im praktischen Datenschutz und hilft Unternehmen dabei Datenschutzvorfälle gar nicht erst entstehen zu lassen.
Dienstag, 06.11.2018
11:30 bis 12:00 Uhr
Wasserturm Heiliger Weg 60, 44135 Dortmund | Karte
Praktischer Datenschutz in der Digitalisierung
Seit Mai ist die neue Datenschutzgrundverordnung und damit ein besserer Datenschutz scharf geschaltet (wir erinnern uns, das sie bereits seit 2016 gilt) und viele Unternehmen tun sich schwer mit Ihr. Sie wird nach wie vor als Gängelung betrachtet und viele halten sie schlichtweg für eine weitere Posse der EU aus Brüssel.
Doch ist das so? Muss das so sein?
Wir sagen ganz klar nein, wenn man es von Anfang richtig macht und als integraler Bestandteil in alle Prozesse einbaut. Viele Unternehmen begreifen die DSGVO als Chance, da sie der Anlass ist mal alte IT Zöpfe abzuschneiden und Neues zu wagen. Hat man lange Zeit an alten Vorgehensmustern und Prozessen festgehalten, ist die DSGVO der willkommene Anlass endlich mal Dinger anders zu machen und auch Budget von der Geschäftsleitung zu bekommen. Werden veraltete und weniger bis gar nicht DSGVO konforme Lösungen beibehalten, drohen der Geschäftsführung in Persona empfindliche Strafen und der Verlust der Vermögensschadenhaftpflichtversicherung. Es ist daher einfacher geworden, der Geschäftsleitung Budgets für Neuerungen abzuringen, wenn man gleichzeitig deren Haftung reduziert oder sogar eliminiert.
Doch was hat Datenschutz denn jetzt konkret mit der Digitalisierung zu tun?
Eine ganze Menge. Werden Prozesse über das Internet abgewickelt, weil man z.B. einen Online-Shop einführt oder eine IoT Lösung mit Handy-App entwickelt, reden wir über den Austausch von Daten, die Personen, Geräte oder kaufmännische Belange betreffen. Hier ist die Umsetzung der DSGVO einfach, da man sie einfach nur mit im Sicherheitskonzept berücksichtigen muss.
Stellt man von einer lokalen Email-Lösung z.B. Auf Google Suite oder Office 365 um, hat man mit passgenauen Auftragsverarbeitungsverträgen direkt das DSGVO Thema mit adressiert.
Dies und viele weitere Beispiele zeigen und erklären wir Ihnen auf der DiWoDo vom 5 bis 9 November 2018 in Dortmund. Sichern Sie sich Ihr Ticket und seien Sie dabei, wenn wir am 6. November rund um Kommunikation, Marketing, Vertrieb und Datenschutz unseren visibleRuhr Thementag auf der Digitalen Woche Dortmund haben. Oder nutzen Sie unser HR 4.0 BarCamp oder den Thementag zur digitalen Transformation. Wir freuen uns auf Sie.
Workshop: Praktischer Datenschutz in der Digitalisierung
Mit der neuen DSGVO und den ständig ansteigenden Gefahren eines Datenschutzvorfalls riskieren Unternehmen nicht selten Ihre Existenz. Ist das Kind erst in den Brunnen gefallen, wirdes teuer und aufwendig. Der Vortrag zeigt anschaulich, wie und wo überall Datenschutzprobleme entstehen können und wie man sich dagegen wappnet. Es zeigt häufige Fehler auf, die in der Praxis immer wieder gemacht werden, wie man diese erkennt und dauerhaft vermeidet.
Mit dem vermittelten Wissen ist es ein Leichtes den Datenschutz im praktischen Einsatz sicher zu stellen.
Maik Becker ist Datenschutzbeauftragter und Geschäftsführer der smart DSGVO GmbH. Er berät Kunden bei der korrekten Umsetzung der DSGVO, schult mit seinen Services und Digitalprodukten Mitarbeiter im praktischen Datenschutz und hilft Unternehmen dabei Datenschutzvorfälle gar nicht erst entstehen zu lassen.
Dienstag, 06.11.2018
11:30 bis 12:00 Uhr
Wasserturm Heiliger Weg 60, 44135 Dortmund | Karte
Nun sind bereits zwei Monate seit der Einführung der DSGVO vergangen. Was hast Du in den letzten 2 Monaten für den Datenschutz getan?
Nichts, Wenig oder nur das Nötigste? Dann ließ jetzt weiter:
Wusstest Du, dass neben Abmahnanwälten bereits die Behörden aktiv geworden sind?
Sie versenden derzeit Fragebögen und erkundigen sich nach dem Stand der Umsetzung im Unternehmen.
Und Du hast nur 4 Wochen Zeit diese zu beantworten!
Unternehmen, die die DSGVO noch nicht oder nur unzureichend umgesetzt haben, werden mit einem Bußgeld bestraft werden.
Wichtig! Bei der DSGVO gilt die Beweislastumkehr
Das bedeutet, dass nicht Dir die Behörde einen Fehler nachweisen muss, sondern DU als Unternehmer musst der Behörde nachweisen, dass Du alles richtig gemacht hast.
Kannst Du z.B. der Behörde nicht nachweisen, dass Deine Mitarbeiter eine Datenschutz-Schulung gemacht haben, führt das zu einem Bußgeld.
In diesem Video nenne ich einige Beispiele, welche Dinge bereits zu Abmahnungen geführt haben aber auch 4 GANZ WICHTIGE Vorteile von denen Dein Unternehmen profitiert, wenn es die DSGVO umsetzt hat.
Außerdem biete ich Dir ein kostenloses Datenschutz-Strategiegespräch an, in dem ich Dir Schritt-für-Schritt sage, was Du in Deinem Unternehmen jetzt tun musst, um das DSGVO-Thema endlich abzuschließen und Du keine Kosten durch Anwälte oder Behörden fürchten musst.
Ich hatte heute ein sehr interessantes Gespräch mit einem Geschäftskunden. Er setzte mich davon in Kenntnis, dass sein Steuerberater für ihn den Datenschutz löst. Hierbei kamen in mir gleich eine Reihe von Fragen auf. Ist es zulässig, das mein Steuerberater für mich den Datenschutz umsetzt? Hat der Steuerberater keinen Interessenkonflikt? Kann mein Steuerberater den Datenschutzbeauftragten stellen?
Ich möchte die Punkte Frage für Frage beantworten und sich jedem sein eigenes Urteil bilden.
Ist es zulässig, das mein Steuerberater für mich den Datenschutz umsetzt?
Hier konnte ich mich von meinem Steuerberater aufklären lassen. Steuerberater unterliegen einer speziellen Regelung, die Ihnen unter dem Steuerrecht eine weisungsfreie, dem Gesetz zugewandte Handlungsorientierung vorsieht. Es ist ihnen nicht gestattet gewerblich tätig zu sein, was bei einer Datenschutzberatung der Fall ist. Insofern kann ein Steuerberater juristisch betrachtet nur dann im Datenschutz beraten, wenn dies in Form einer eigenen Gesellschaft oder einem separaten Gewerbe erfolgt.
Hat der Steuerberater einen Interessenkonflikt?
In vielen Situationen verfügen Steuerberatungen über separate Wirtschaftsprüfungsgesellschaften, um gewerbliche Leistungen anbieten zu können. Hier gilt auch die Regel, das Wirtschaftsprüfer nur Unternehmen prüfen, für die sie nicht selbst in der operativen Steuerberatung tätig sind. Hier sehen wir den Sachverhalt auch beim Datenschutz. Der Steuerberater landet in einem Interessenkonflikt, wenn er neben der operativen Steuerberatung den Datenschutz über eine von ihm kontrollierte Gesellschaft erbringt. Er wird Prozesse beraten und zur Umsetzung vorschreiben, die mögliche Konflikte mit seiner Steuerberatung und dem Zusammenspiel mit dem Unternehmen vermeiden. Damit greift er aus einer Abhängigkeit in die Prozesse ein und riskiert für seine Mandanten ein Bussgeld analog der Bestellung eines Datenschutzbeauftragten in einem Unternehmen, der gleichzeitig Geschäftsführer oder Führungskraft ist.
Kann mein Steuerberater den Datenschutzbeauftragten stellen?
Diesen Sachverhalt würden wir klar verneinen. Der bei einem durch den Steuerberater kontrollierten Unternehmen tätige Datenschutzbeauftragte müsste gegen seinen Arbeitgeber bzw. verbundene Unternehmen datenschutzrechtlich agieren. Das wird er nicht machen, wenn sein Arbeitgeber betroffen ist. Es ist daher dringend anzuraten diesen Sachverhalt zu vermeiden, um Bussgelder auf Unternehmens- und Privatseite der Geschäftsführer zu vermeiden.
Fazit
Der Steuerberater aus Sicht der Steuerberatung darf keine Datenschutzberatungsleistungen erbringen. Dies kann nur über eine extra Gesellschaft oder Gewerbe erfolgen. Wenn der Steuerberater in dieser Gesellschaft des Weiteren Weisungsgeber und Gesellschafter ist, tritt nach unserer Meinung ein Interessenkonflikt auf. Aus Sicht des Unternehmens ist dies eine fahrlässige Handlung und führt bei Datenschutzverletzungen zu einem Bussgeld für Unternehmen und Geschäftsführer. Mit der Bestellung des Datenschutzbeauftragten, gestellt durch eine vom Steuerberater kontrollierte Gesellschaft, ist dies unserer Ansicht nach gegeben. Ähnlich stellt sich dieser Sachverhalt übrigens dar, wenn der IT Dienstleister, der die IT des Unternehmens betreibt, den Datenschutz berät und den Datenschutzbeauftragten stellt. Auch in diesem Fall tritt ein Interessenkonflikt auf und sollte unbedingt vermieden werden.
In unserem Datenschutz Cafe Video erklären Maik Becker und Lars-Thorsten Sudmann Euch, was es mit privaten Smartphones im Unternehmen auf sich hat, welche Gefahren drohen und wie man das Thema gelöst bekommt.
„Was passiert unter der DSGVO, wenn Anwender Firmen-Apps auf den privaten Smartphones installieren?“
Dieser Frage gehen Maik und Lars nach und decken auf, welche Risiken Euch drohen und was dies bedeutet. Generell kann man sagen, das private Smartphones nicht in dem Verantwortungsbereich des Unternehmens liegen und damit jegliche Installation von Firmen Anwendungen (APPS) sehr kritisch sind. Z.B. ist die Installation einer CRM APP wie Salesforce, Pipedrive und anderen auf einem privaten Smartphone als kritisch zu betrachten, da die Anwendungen Personen bezogene Daten auf das Smartphone speichern. Sollte das Handy geklaut oder gehackt werden, tritt ein Datenschutzvorfall ein, der einer 72 Stunden Meldepflicht unterliegt.
Datenschutzverstoß mit Vorsatz!
Betrachtet man den Fall allerdings genauer, liegt letztendlich schon ein Datenschutzverstoß vor, wenn eine dienstliche Anwendung Daten auf dem privaten Smartphone speichert. Nach aktueller Rechtslage ist auch dies bereits ein Datenschutzverstoß, der bei Bekanntwerden nicht nur Meldepflichtig ist, sondern im Sinne der zu etablierenden Datenschutzprozesse unter dem Aspekt des Vorsatzes fallen wird. Für die Geschäftsführung und betreffenden Mitarbeiter bedeutet dies direkt ein Bussgeld, welches im Ermessen der Datenschutzbehörden verhängt wird.
Dieses Risiko ist insbesondere deswegen so kritisch, da ein einfacher Hinweis durch einen ehemaligen Mitarbeiter oder Wettbewerber eine Prüfung der Datenschutzbehörde nach sich ziehen wird. Diese werden das Verfahrensverzeichnis prüfen und egal in welchem Fall – ob dokumentiert oder nicht – der Sachverhalt der vorsätzlichen Handlung gelten.
Es macht nur Sinn, Firmensmartphones zu verteilen
Generell kann man daher sagen, dass das private Smartphone für dienstliche Anwendungen tabu sein sollte, wenn man nicht ein Bussgeld für Mitarbeiter und Geschäftsführer / Vorstände in den nächsten Wochen und Monaten riskieren möchte. Das birgt allerdings dann das Problem, das Mitarbeiter unter Umständen garnicht am digitalen Firmenleben teilnehmen können.
Nutzt auch unsere Plattform smart DSGVO, die Euch bei der Umsetzung und dauerhaften Einhaltung der DSGVO aktiv unterstützt und Fehler und teure Bussgelder oder Abmahnungen vermeidet.
Die DSGVO schreibt eine Dokumentation vor.
„Eine Dokumentation zu schreiben ist alles andere als aufregend.“
Es ist langweilig, es dauert gefühlt ewig und macht in der Regel auch keinen Spaß.
Aber reicht es aus eine DSGVO-Dokumentation erst zu schreiben, wenn die Anfrage von der Behörde eingetroffen ist?
Hier muss ich sagen, wenn du bisher noch keine Dokumentation hast dann fang „jetzt damit an“.
Denn die DSGVO es schreibt vor, dass Du ein lebendiges Datenschutz-Management-System haben musst!
Also die Behörde möchte durchaus Fortschritte sehen, wie Du den Datenschutz ursprünglich bei Dir in Deinen Unternehmen etabliert hast und wie sich dieser weiterentwickelt hat. Dabei spielt es keine Rolle, ob Du ein Verein, Selbstständig oder ein Unternehmen mit Mitarbeitern bist.
Mein Tipp an Dich
Starte jetzt mit der Dokumentation, auch wenn diese noch nicht perfekt ist oder sein wird.
Bitte nicht falsch verstehen!
Ich rufe jetzt nicht dazu auf, dass Du Deine DSGVO-Dokumentation halbherzig und unvollständig machst oder machen sollst.
Der Hintergedanke ist der, dass sich eine unvollständige oder fehlerhafte
Dokumentation viel einfacher korrigieren lässt als am Ende vor den
Behörden ohne Dokumentation dazu stehen.
Ich gehe davon aus, dass die Behörden, das ein oder andere Auge zudrücken werden, wenn ein Unternehmen eine unvollständige Dokumentation hat.
Dagegen bei Unternehmen, die gar keine Dokumentationen haben, bleibt den Behörden nichts anderes übrig, als ein Bußgeld zu verhängen.
„Datenschutz interessiert mich nicht.“ – So oder ähnlich klingen die Aussagen von Mitarbeiter und Angestellten.
Wusstest du, dass auch Du als Angestellter für Deine Fehler, welche zu einer Datenschutzverletzung also einer Datenpanne führt, persönlich haftest?
Schau Dir dieses Video an, wenn Du wissen willst wer im Falle eines Datenschutzverstoßes haftet.
Leider werden immer wieder Unternehmer und Datenschutzbeauftragte mit Dienstleistungsangeboten in die Irre geführt und ein komplett falscher Eindruck erzeugt. Wir räumen mit den 9 grössten Irrtümern auf.
Ich habe den Datenschutz mit der Datenschutzrichtlinie gelöst
Ein in der Praxis auftauchendes Phänomen ist die Aussage, das man mit der Erstellung der Datenschutzrichtlinie über einen Datenschutzgenerator – wir beschreiben in unserer Community und im Video die Hintergründe – das Datenschutzthema erledigt hat. Hier werden leider immer wieder Angebote offeriert, die diesen Eindruck erwecken.
Das stimmt allerdings nicht!
Die Erstellung Deines Impressums auf der Webseite und der zugehörigen Datenschutzrichtlinie sind nur Basisbausteine der DSGVO und dienen zur Aufklärung der Webseitenbesucher. Die DSGVO fordert viele weitere Unterlagen und Regelungen, die Ihr in unserer smart DSGVO Profi Plattform und unserem Wiki nachlesen könnt.
Wer dies vergisst oder nicht umsetzt, muss mit empfindlichen Strafen rechnen, die die Datenschutzbehörden nach freier Einschätzung verhängen.
Ich brauche den Datenschutz erst ab 10/20 Mitarbeiter
Warum auch immer werden Firmen mit der Aussage konfrontiert, das der Datenschutz für ein Unternehmen erst ab 10 oder 20 Mitarbeiter verbindlich ist. Das ist leider eine Falschinformation. Der Datenschutz gilt schon ab einer Person – sprich dem Einzelunternehmer oder Gewerbetreibenden. Es ist in der Definition des DSGVO festgelegt, das man ab einer bestimmten Menge von Personendaten verarbeitenden Mitarbeitern einen Datenschutzbeauftragten bestellen muss. In der Regel gilt dies ab 10 Personen die vollautomatisch (z.B. Mailinglisten, CRM Systeme) bzw. 20 die teilautomatisch (z.B. Adressbücher in Smartphones) Personen bezogene Daten verarbeiten. Werden z.B. kritische Gesundheitsdaten verarbeitet, kann dies schon ab einem Mitarbeiter notwendig sein.
Datenschutz ist nur etwas für große Unternehmen
Wie bereits zuvor beschrieben gilt der Datenschutz für jede gewerblich, freiberuflich oder unternehmerisch tätige Person. Es wird in der Gesetzgebung kein grundlegender Unterschied zwischen kleinen und großen Unternehmen getroffen. Alle müssen den Datenschutz mit inhaltlich definierten Umfängen umsetzen.
Datenschutz geht nur den Chef etwas an
Datenschutz ist ein unternehmensweit definiertes Thema und geht jeden etwas an. Mitarbeiter müssen außerdem vom Unternehmen im Datenschutz ausgebildet werden. Hier kann man generell zwischen den Mitarbeitern unterscheiden die Daten verarbeiten und denen, die keine verarbeiten. Wenn man allerdings genauer hinschaut, dann verarbeitet fast jeder irgendwie Daten oder kann mit ihnen in Berührung kommen. Gerade Smartphones sind hier ein prädestiniertes Umfeld. Wir empfehlen daher, das alle Mitarbeiter im Datenschutz unterwiesen und sensibilisiert sind.
Datenschutz ist ein IT Thema
Ihr denkt vielleicht, der Datenschutz ist auf Grund seines Begriffes mit Daten in IT Systemen gleich zu setzen und hier hat die Informationstechnologie kurz IT den Hut auf. Das ist dem Grunde nach erst einmal nicht falsch. Allerdings dienen Informationstechnologie, Computer und Softwarelösungen der Unterstützung von Prozessen in Unternehmen. Am Ende des Tages sind daher in Eurem Unternehmen ein Großteil wenn nicht sogar alle Mitarbeiter irgendwie mit IT Systemen konfrontiert. Daher ist Datenschutz generell immer unternehmensweit zu sehen und sollte so auch gelebt werden.
Der Datenschutz ist mit dem Schreiben der Dokumente erledigt
In den letzten Jahrzehnten ist es leider zur gängigen Praxis in Unternehmen geworden, das man z.B. Dokumentationen zum Arbeitsschutz oder zur Qualitätssicherung erstellt und man dann seine Pflicht erfüllt. Immer dann, wenn etwas passiert bzw. schief geht, kommt die Frage auf ob und wie die Prozesse gelebt werden. Es ist daher nicht selten, das die Dokumentationen von vor 5 Jahren nichts mehr mit der aktuellen Situation zu tun haben und komplett abweichen.
Gerade im Datenschutz ist dieses Risiko nicht gering und der Gesetzgeber schreibt daher eine jährliche Überprüfung vor, die zu dokumentieren ist. Datenschutzbeauftragte erstellen daher im Minimum jährlich eine Datenschutzbeurteilung.
Ich schreibe die DSGVO Dokumentation, wenn danach gefragt wird
Auch dies ist ein gefährlicher Irrtum. Der Gesetzgeber sieht ein lebendiges Datenschutzmanagement vor. Diesbezüglich wird gerade auch auf die Historie des Datenschutzes geachtet und wann was von wem wie erstellt, durchgeführt oder geregelt wurde. Es ist daher empfehlenswert jetzt mit dem Thema anzufangen, wenn noch keine vollständige Dokumentation erstellt wurde. Wir gehen davon aus, das die Unternehmen oder Unternehmer stärker bestraft werden, die das Thema aus zu sitzen versuchen. Des Weiteren ist es leichter ein nicht ganz vollständiges evtl. noch mit Fehlern behaftetes Datenschutzmanagement nach zu arbeiten als bei Null anzufangen. Wir rechnen daher auch damit, das Unternehmen mit nicht vollständiger aber 90% Datenschutzdokumentation wenige Probleme bekommen werden gegenüber denen, die es einfach links liegen lassen.
Ich habe doch gar keine Daten von Personen
Es gibt Fälle, in denen denkt Ihr, das man keine Personen bezogenen Daten hat. Dies ist sehr unwahrscheinlich, da Ihr im Minimum Mitarbeiter oder Rechnungsanschriften haben werdet, da dies allein durch die Steuergesetzgebung vorgeschrieben ist. Es wird daher im unternehmerischen Kontext nahezu unmöglich sein, keine Personen bezogenen Daten zu haben.
Datenschutzstrafen treffen nur das Unternehmen
Im Internet und der allgemeinen Presse wird immer wieder mit den Strafen von bis zu 20 Millionen Euro oder 4% vom weltweiten Jahresumsatz um sich geworfen. Man könnte daher den Eindruck bekommen, das nur Unternehmen bestraft werden, wenn etwas schief geht.
Das ist leider eine absolute Fehlannahme. Die DSGVO ist wie eine Straßenverkehrsordnung im Datendschungel und diese gilt für alle. Fährt der Mitarbeiter zu schnell, bekommt er ein Bussgeld. Ordnet der Chef dies an, in dem er die Sicherheit ignoriert, wird auch er bestraft.
Mit der DSGVO verhält es sich genauso – regelt das Unternehmen den Datenschutz nicht und es kommt zu Datenschutzverletzungen, dann haftet zuerst das Unternehmen. Kommt allerdings raus, das der Mitarbeiter entsprechend im Datenschutz unterwiesen wurde und das es entsprechende Datenschutzdokumentationen gibt, dann wird auch er mit einem Bussgeld belegt werden. Und als erstes einmalig in der Geschichte der Gesetzgebung muss vor allen Dingen das Unternehmen und auch der Mitarbeiter seine Unschuld beweisen. Das dies mitunter sehr heikel sein kann, könnt Ihr Euch vorstellen.
WhatsApp war nur die Spitze des Eisbergs!
Bisher war fast immer von der WhatsApp APP die Rede, die das Adressbuch des Smartphones zu Facebook kopiert. Hier werden massenhaft Daten von nicht WhatsApp Kunden zu Facebook, aus DSGVO Sicht ein Unternehmen im Drittland, übertragen. Es gibt allerdings noch viel kritischere Situationen bei privaten Smartphones mit regelmässiger oder auch nur gelegentlicher dienstlicher Nutzung.
Die hierbei auftauchende Fragen:
„Was passiert unter der DSGVO, wenn Anwender Firmen-Apps auf den privaten Smartphones installieren?“
Generell kann man sagen, das private Smartphones nicht in dem Verantwortungsbereich des Unternehmens liegen und damit jegliche Installation von Firmen Anwendungen (APPS) sehr kritisch sind. Z.B. ist die Installation einer CRM APP wie Salesforce, Pipedrive und anderen auf einem privaten Smartphone als kritisch zu betrachten, da die Anwendungen Personen bezogene Daten auf das Smartphone speichern. Sollte das Handy geklaut oder gehackt werden, tritt ein Datenschutzvorfall ein, der einer 72 Stunden Meldepflicht unterliegt.
Datenschutzverstoß mit Vorsatz!
Betrachtet man den Fall allerdings genauer, liegt letztendlich schon ein Datenschutzverstoß vor, wenn eine dienstliche Anwendung Daten auf dem privaten Smartphone speichert. Nach aktueller Rechtslage ist auch dies bereits ein Datenschutzverstoß, der bei Bekanntwerden nicht nur Meldepflichtig ist, sondern im Sinne der zu etablierenden Datenschutzprozesse unter dem Aspekt des Vorsatzes fallen wird. Für die Geschäftsführung und betreffenden Mitarbeiter bedeutet dies direkt ein Bussgeld, welches im Ermessen der Datenschutzbehörden verhängt wird.
Dieses Risiko ist insbesondere deswegen so kritisch, da ein einfacher Hinweis durch einen ehemaligen Mitarbeiter oder Wettbewerber eine Prüfung der Datenschutzbehörde nach sich ziehen wird. Diese werden das Verfahrensverzeichnis prüfen und egal in welchem Fall – ob dokumentiert oder nicht – der Sachverhalt der vorsätzlichen Handlung gelten.
Social Intranets sind besonders gefährlich
Besonderes kritisch wird dies bei firmeninternen Social Networks, Intranets, Messaging und anderen Anwendungen, die verstärkt mit Personen bezogenen Daten gefüttert sind (z.B. Mitarbeiterverzeichnisse, Bewerberdiskussionen, etc.). Je umfangreicher die Nutzerprofile und dessen Angaben ausfallen, desto schneller wird ein Datenschutzverstoß eintreten. Kommen Bewerberdaten hinzu, wird dies besonders heikel.
Es macht nur Sinn, Firmensmartphones zu verteilen
Generell kann man daher sagen, dass das private Smartphone für dienstliche Anwendungen tabu sein sollte, wenn man nicht ein Bussgeld für Mitarbeiter und Geschäftsführer / Vorstände in den nächsten Wochen und Monaten riskieren möchte. Das birgt allerdings dann das Problem, das Mitarbeiter unter Umständen garnicht am digitalen Firmenleben teilnehmen können.
Es ist daher nur klug und weitsichtig, wenn man generell Smartphones als Dienstgeräte austeilt, um nicht in das letzte Jahrtausend zurück geworfen zu werden. Die Kosten pro Mitarbeiter und Monat sind hierbei niedrig zu dem Nutzen, den eine moderne, agile und mobile Organisation mitbringt.